Privileged Groups
Znane grupy z uprawnieniami administracyjnymi
Administratorzy
Administratorzy domeny
Administratorzy przedsiębiorstwa
Operatorzy kont
Grupa ta ma uprawnienia do tworzenia kont i grup, które nie są administratorami w domenie. Dodatkowo umożliwia lokalne logowanie do kontrolera domeny (DC).
Aby zidentyfikować członków tej grupy, wykonuje się następujące polecenie:
Dodawanie nowych użytkowników jest dozwolone, a także lokalne logowanie do DC01.
Grupa AdminSDHolder
Lista Kontroli Dostępu (ACL) grupy AdminSDHolder jest kluczowa, ponieważ ustala uprawnienia dla wszystkich "chronionych grup" w Active Directory, w tym grup o wysokich uprawnieniach. Mechanizm ten zapewnia bezpieczeństwo tych grup, zapobiegając nieautoryzowanym modyfikacjom.
Atakujący mógłby to wykorzystać, modyfikując ACL grupy AdminSDHolder, przyznając pełne uprawnienia standardowemu użytkownikowi. To skutecznie dałoby temu użytkownikowi pełną kontrolę nad wszystkimi chronionymi grupami. Jeśli uprawnienia tego użytkownika zostaną zmienione lub usunięte, zostaną automatycznie przywrócone w ciągu godziny z powodu konstrukcji systemu.
Polecenia do przeglądania członków i modyfikowania uprawnień obejmują:
A script is available to expedite the restoration process: Invoke-ADSDPropagation.ps1.
For more details, visit ired.team.
AD Recycle Bin
Członkostwo w tej grupie umożliwia odczyt usuniętych obiektów Active Directory, co może ujawnić wrażliwe informacje:
Dostęp do kontrolera domeny
Dostęp do plików na DC jest ograniczony, chyba że użytkownik jest częścią grupy Server Operators
, co zmienia poziom dostępu.
Eskalacja uprawnień
Używając PsService
lub sc
z Sysinternals, można sprawdzić i zmodyfikować uprawnienia usług. Grupa Server Operators
, na przykład, ma pełną kontrolę nad niektórymi usługami, co pozwala na wykonywanie dowolnych poleceń i eskalację uprawnień:
To polecenie ujawnia, że Server Operators
mają pełny dostęp, co umożliwia manipulację usługami w celu uzyskania podwyższonych uprawnień.
Backup Operators
Członkostwo w grupie Backup Operators
zapewnia dostęp do systemu plików DC01
dzięki uprawnieniom SeBackup
i SeRestore
. Te uprawnienia umożliwiają przechodzenie przez foldery, wyświetlanie listy oraz kopiowanie plików, nawet bez wyraźnych uprawnień, przy użyciu flagi FILE_FLAG_BACKUP_SEMANTICS
. Wykorzystanie konkretnych skryptów jest konieczne w tym procesie.
Aby wyświetlić członków grupy, wykonaj:
Atak lokalny
Aby wykorzystać te uprawnienia lokalnie, stosuje się następujące kroki:
Importuj niezbędne biblioteki:
Włącz i zweryfikuj
SeBackupPrivilege
:
Uzyskaj dostęp i skopiuj pliki z ograniczonych katalogów, na przykład:
AD Attack
Bezpośredni dostęp do systemu plików kontrolera domeny umożliwia kradzież bazy danych NTDS.dit
, która zawiera wszystkie hashe NTLM dla użytkowników i komputerów w domenie.
Using diskshadow.exe
Utwórz kopię zapasową dysku
C
:
Skopiuj
NTDS.dit
z kopii zapasowej:
Alternatywnie, użyj robocopy
do kopiowania plików:
Wyodrębnij
SYSTEM
iSAM
w celu odzyskania hashy:
Pobierz wszystkie hashe z
NTDS.dit
:
Using wbadmin.exe
Skonfiguruj system plików NTFS dla serwera SMB na maszynie atakującej i zbuforuj poświadczenia SMB na maszynie docelowej.
Użyj
wbadmin.exe
do tworzenia kopii zapasowej systemu i ekstrakcjiNTDS.dit
:
For a practical demonstration, see DEMO VIDEO WITH IPPSEC.
DnsAdmins
Członkowie grupy DnsAdmins mogą wykorzystać swoje uprawnienia do załadowania dowolnej biblioteki DLL z uprawnieniami SYSTEM na serwerze DNS, często hostowanym na kontrolerach domeny. Ta zdolność pozwala na znaczny potencjał do eksploatacji.
Aby wyświetlić członków grupy DnsAdmins, użyj:
Wykonaj dowolny DLL
Członkowie mogą sprawić, że serwer DNS załaduje dowolny DLL (lokalnie lub z zdalnego udziału) za pomocą poleceń takich jak:
Restartowanie usługi DNS (co może wymagać dodatkowych uprawnień) jest konieczne, aby DLL mogła zostać załadowana:
For more details on this attack vector, refer to ired.team.
Mimilib.dll
Możliwe jest również użycie mimilib.dll do wykonania poleceń, modyfikując go w celu wykonania konkretnych poleceń lub odwrotnych powłok. Sprawdź ten post po więcej informacji.
WPAD Record for MitM
DnsAdmins mogą manipulować rekordami DNS, aby przeprowadzać ataki Man-in-the-Middle (MitM), tworząc rekord WPAD po wyłączeniu globalnej listy blokad zapytań. Narzędzia takie jak Responder lub Inveigh mogą być używane do fałszowania i przechwytywania ruchu sieciowego.
### Event Log Readers Członkowie mogą uzyskiwać dostęp do dzienników zdarzeń, potencjalnie znajdując wrażliwe informacje, takie jak hasła w postaci czystego tekstu lub szczegóły wykonania poleceń:
Uprawnienia Windows Exchange
Ta grupa może modyfikować DACL na obiekcie domeny, potencjalnie przyznając uprawnienia DCSync. Techniki eskalacji uprawnień wykorzystujące tę grupę są szczegółowo opisane w repozytorium Exchange-AD-Privesc na GitHubie.
Hyper-V Administrators
Administratorzy Hyper-V mają pełny dostęp do Hyper-V, co może być wykorzystane do przejęcia kontroli nad wirtualizowanymi kontrolerami domeny. Obejmuje to klonowanie aktywnych kontrolerów domeny i wydobywanie haszy NTLM z pliku NTDS.dit.
Przykład wykorzystania
Usługa konserwacyjna Mozilli Firefox może być wykorzystywana przez administratorów Hyper-V do wykonywania poleceń jako SYSTEM. Polega to na utworzeniu twardego linku do chronionego pliku SYSTEM i zastąpieniu go złośliwym plikiem wykonywalnym:
Note: Wykorzystanie twardych linków zostało złagodzone w ostatnich aktualizacjach systemu Windows.
Zarządzanie Organizacją
W środowiskach, w których wdrożono Microsoft Exchange, specjalna grupa znana jako Zarządzanie Organizacją ma znaczące uprawnienia. Ta grupa ma przywilej dostępu do skrzynek pocztowych wszystkich użytkowników domeny i utrzymuje pełną kontrolę nad jednostką organizacyjną 'Microsoft Exchange Security Groups' (OU). Ta kontrola obejmuje grupę Exchange Windows Permissions
, która może być wykorzystana do eskalacji uprawnień.
Wykorzystanie Uprawnień i Polecenia
Operatorzy Drukowania
Członkowie grupy Operatorzy Drukowania mają przyznane kilka uprawnień, w tym SeLoadDriverPrivilege
, które pozwala im logować się lokalnie do kontrolera domeny, wyłączać go i zarządzać drukarkami. Aby wykorzystać te uprawnienia, szczególnie jeśli SeLoadDriverPrivilege
nie jest widoczne w kontekście bez podwyższonych uprawnień, konieczne jest ominięcie Kontroli Konta Użytkownika (UAC).
Aby wyświetlić członków tej grupy, używa się następującego polecenia PowerShell:
For more detailed exploitation techniques related to SeLoadDriverPrivilege
, one should consult specific security resources.
Użytkownicy pulpitu zdalnego
Członkowie tej grupy mają dostęp do komputerów za pośrednictwem protokołu pulpitu zdalnego (RDP). Aby wylistować tych członków, dostępne są polecenia PowerShell:
Dalsze informacje na temat wykorzystywania RDP można znaleźć w dedykowanych zasobach pentestingowych.
Użytkownicy zdalnego zarządzania
Członkowie mogą uzyskiwać dostęp do komputerów za pomocą Windows Remote Management (WinRM). Wykrywanie tych członków osiąga się poprzez:
Dla technik eksploatacji związanych z WinRM należy skonsultować się z odpowiednią dokumentacją.
Operatorzy serwera
Ta grupa ma uprawnienia do wykonywania różnych konfiguracji na kontrolerach domeny, w tym uprawnienia do tworzenia kopii zapasowych i przywracania, zmiany czasu systemowego oraz wyłączania systemu. Aby wylistować członków, należy użyć następującego polecenia:
References
Last updated